文 | 涂子沛(微信公号:涂子沛频道)

最近,民法总则草案提请全国人大常委会二次审议,个人信息保护被纳入立法视野。二审稿第109条增加了规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”

我必须要为新增条款叫好,民法总则绕过了虚拟财产和数据信息的知识产权问题,但没有绕开个人信息保护。而对社会而言,后一个问题更为迫切。当下的个人信息,包括个人在互联网上享受各种服务而产生的大量数据,不仅是隐私,而且明显地带有经济属性,对其保护意义重大。

我特别要点赞的是,这种保护贯穿“收集、利用、加工、传输、提供、公开、出售”的各个环节,民法总则的先见之明给个人信息的全方位保护留下了立法的巨大空间。

个性化服务是一朵带刺玫瑰

今天是一个个性化定制时代。你打开购物网站,淘宝告诉你这是为你私人定制的页面,全球独一份;打开新闻网站,除了常规新闻,还有“你喜欢的新闻”的栏目,微博、微信更是将这种个性化服务发挥到极致,你看到的都是你关注的内容,不想看的取关即可。

用户享受的是宾至如归的服务,权利被尊重,爱好被迎合,虚荣心得到了满足。但大部分用户并未清醒意识到的是,各个平台在打造自己的个性化服务的同时,也在贪婪地抓取个人数据,经过加工、分析后变现。

概括地说,今天所有个性化商业服务的基础,正是个人源源不断产生的数据流。

今年6月底,谷歌把2007年曾向用户承诺的隐私条款不动声色地拿掉了:“除非用户同意,谷歌不会将下属广告公司DoubleClick收集的Cookie信息,和谷歌收集的其它个人身份信息结合起来使用”。

DoubleClick是谷歌的广告服务平台,移除旧条款意味着,谷歌可以把用户的网上浏览记录和用户邮箱、用户搜索所留下的数据联通,建立完整的用户行为链,为其精准地推送广告服务。要强调的是,谷歌邮箱包含大量的实名信息。

也就说,网民的上网行为透明了。谷歌甚至可以通过分析用户的邮件内容,推断用户的需要并推送相应广告。

这件事正在美国发酵。谷歌发言人回应称,这是为了适应当下的“智能手机革命”。这当然是堂而皇之的“官方”解释。

我的观点是,这表明了商业机构对个人信息的使用,已经到了公开化、常态化、系统化阶段,数据不仅已经成为隐私最主要的载体,而且带有明显的经济属性。

过去,隐私被侵犯后主要给个人带来精神上的伤害,如名誉受损;今天,数据是隐私的载体,它的经济价值被企业觊觎,更多地在经济活动中被使用,甚至可以成为个人私有财产的一部分。

事实上,即使在美国,谷歌已经是隐私保护阵营中最后的坚守者。近十年来,把互联网上收集的用户行为数据和线下的单位名录等数据进行对比、匹配,以确定每一个人的行为,几乎是每一家互联网公司甚至是实体企业都在悄悄做的事。每成功匹配一个用户数据,都给广告商带来打鸡血般的兴奋。

对于这一点,公众并非毫无察觉,但为了电子化生活的便利,为了得到商业机构的个性化服务,有越来越多的人愿意“让渡”自己的部分隐私。

让渡了哪一部分呢?为了厘清隐私被侵犯的脉络,有学者把隐私分为“门内隐私”和“门外隐私”。

“门内隐私”即一个人贴身的活动。例如性行为、亲密关系、家庭生活等。

网上浏览记录、网购行为和社交媒体记录,可以认为是“门外隐私”。通过这些数据,商家可以推断你个人的消费习惯和生活习惯。很多时候,个人如果向商家“出让”自己的这部分隐私,可以换取购物、出行、就餐、旅行等生活行为的方便。

正是借助窥视、占有“门外隐私”,网购平台会送上秀色可餐的商品,让人欲罢不能,新闻网站在一次次数据抓取分析加工中形成用户画像,顺带附上一个小广告、一篇软文。地图开发商一边在向用户的提供着服务、一边收集用户数据,一边在向平台中的商家收取费用。

这种“让渡”无疑成全了商业机构,成全了它们所谓的盈利模式,让它们可以从容地变现数据的经济价值。但是,这里面存在许多问题,非常微妙,即使是门外隐私,也不代表完全安全。

上个月,美国真人秀明星金·卡戴珊在巴黎遭遇持枪抢劫并被绑在浴室,价值7千万的珠宝被抢。与很多人喜欢在朋友圈分享吃喝玩乐经历一样,卡戴珊也是社交媒体的拥趸,她在推特、Instagram上拥有数千万名粉丝。刚抵达巴黎,她就不断分享时装秀、晚宴、食物和首饰等在巴黎的点点滴滴。

案发后,安全专家分析说,卡戴珊的遭遇与她在社交媒体频繁分享生活动态不无关系,这些分享透露出了她的地理位置和行踪,加上大量珠宝照片,因此被劫匪盯上。卡戴珊获救后,从此沉默,再也没有更新过自己的社交媒体。

中国方面也有类似新闻,《法制晚报》就曾报道,通过微信“附近的人”功能,连续变换3次以上位置,再辅以电子地图,就能定位出其他微信用户的位置,甚至有犯罪分子借助微信定位搜寻“猎物”。

我在《大数据》这本书中也讲过一个有趣的例子,说明貌似不相关的数据却可能泄露你致命的隐私。

有银行在某地新安装了一部ATM机,却发现每天午夜12点到2点有大量款项被取走。银行担心诈骗,雇佣侦探专门调查之后却发现:该提款机靠近一家色情俱乐部,顾客提取现金的目的,是不想再信用卡留下“不体面”的消费记录。

很快,当地报纸登出一条新闻:“××银行知道昨晚谁光顾了妓女”。人们从ATM机上取钱,留下的数据虽然仅仅是一笔银行交易,但加上位置信息,可能就暴露了提款的目的。

以上案例表明,一条数据的信息量可能非常有限,但多条数据经过整合、分析、合成后,信息量可能倍增。即零散的数据可能被“合成”,它们可以相互解释、彼此印证,“门外”的最终可以变成“门内”的,对隐私和安全产生“1+1>2”的穿透力。

商家获得了经济利益,个人则可能付出安全成本。这就是我们要为个人信息保护入法点赞的根本原因。只有将这种行为纳入法治化轨道,才能将负面影响控制在最小范围,让安全和价值这对失衡的天平再平衡。

在个人数据保护方面,全球各国都存在治理模式上的缺陷,只不过在中国体现得更明显一点。西方发达国家,同样也充满着隐私权和信息共享之间激烈的冲突。他们也正通过立法修法的形式堵住漏洞。

民法总则迈开了积极的一步,但前路还长。民法总则即使通过,还需要一部完整的个人信息保护法律对条款进行解读、落实。

涂子沛:个人信息保护入法,堵住非法变现通道

发表评论

电子邮件地址不会被公开。 必填项已用*标注